-=Kernel-Error=-

Mein Datenhaufen zu IT und Elektronik Themen.

Kategorie: Kernel-Error-Blog (Seite 5 von 47)

Keine RSA Zertifikate mehr o/ ….

26. Februar 2020 / / Keine Kommentare

….. naja, fast :-/

Wir sind alle in 2020 angekommen und so laaaannngggsssaaammmm könnte man von 4096 bit RSA Zertifikaten mal auf >= 256 bit EC Zertifikate wechseln, oder? Bringt mehr Sicherheit, die Schlüssel sind kleiner und so schneller gerechnet und alle gängigen Browser machen es ebenfalls schon ein paar Jahre.

Vor knapp 6 Monaten habe ich daher einen Satz neuer Schlüssel erstellt und diese schon mal in mein HPKP Header eingebunden, damit der Key-Rollover gut funktioniert. Heute habe ich zu den Schlüsseln Zertifikate gebaut, diese von einer CA signieren lassen und alles eingebunden.

Bei meinem nginx vollkommen schmerzfrei. Einfach die neuen Schlüssel hinterlegt und die Cipherliste von allem RSA-Zeug befreit:

ssl_ciphers TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256;

Restart vom nginx und zack, schon läuft alles!

Bei den Webseiten also überhaupt kein Problem. Etwas anders ist es bei E-Mail! Postfix macht es natürlich schon, ach LANGE.. Aber ein Microsoft Exchange 2016 in der (weiter weiter fertigstellen) Installation natürlich nicht. Wenn ich also von so einem System weiterhin E-Mails erhalten möchte (ja will ich und per RSA kann so ein System es auch in ~sicher~), muss ich weiterhin etwas auf RSA Basis anbieten.

Jetzt haben sich die Entwickler(innen) bei Postfix schon so etwas gedacht und bieten dieses in der Konfiguration an. Also RSA Keys/Zertifikate? Richtig… OK, das ist nichts besonders aber das es in Kombination mit ECD Keys/Zertifikaten möglich ist. Ach schaut einfach mal die Konfiguration:

smtpd_tls_eckey_file = /usr/local/etc/postfix/ec-postfix.key
smtpd_tls_eccert_file = /usr/local/etc/postfix/ec-postfix.pem
smtpd_tls_key_file = /usr/local/etc/postfix/postfix.key
smtpd_tls_cert_file = /usr/local/etc/postfix/postfix.pem

Ha, ist das nicht schön? smtpd_tls_eckey_ und smtpd_tls_key_?!? Der Server wirft jedem Client nun also zwei Serverzertifikate entgegen. Einmal EC und einmal RSA (ok man braucht also nun ebenfalls zwei Zertifikate).

Schaut mal:

➜  ~ testssl.sh -t smtp smtp.kernel-error.de:25
[....]
  Server Certificate #1
   Signature Algorithm          SHA256 with RSA
   Server key size              RSA 4096 bits
   Server key usage             Digital Signature, Key Encipherment
   Server extended key usage    TLS Web Server Authentication, TLS Web Client Authentication
   Serial / Fingerprints        4F7A9159AEED9414B7D542ED / SHA1 908FD237EF13A6048077082023C4CDE092F55F33
                                SHA256 74E3984BD5F9FAC26375DAEA6F0326229A0F42AC2EE53088A73DFD5F65107FA9
   Common Name (CN)             *.kernel-error.de 
   subjectAltName (SAN)         *.kernel-error.de kernel-error.de 
   Issuer                       AlphaSSL CA - SHA256 - G2 (GlobalSign nv-sa from BE)
   Trust (hostname)             Ok via SAN wildcard (same w/o SNI)
   Chain of trust               Ok   
   EV cert (experimental)       no 
   ETS/"eTLS", visibility info  not present
   Certificate Validity (UTC)   403 >= 60 days (2020-02-26 14:19 --> 2021-04-05 13:58)
   # of certificates provided   2
   Certificate Revocation List  http://crl2.alphassl.com/gs/gsalphasha2g2.crl
   OCSP URI                     http://ocsp2.globalsign.com/gsalphasha2g2
   OCSP stapling                not offered
   OCSP must staple extension   --
   DNS CAA RR (experimental)    available - please check for match with "Issuer" above
                                iodef=mailto:kernel-erro@kernel-error.de, issue=comodoca.com, issue=geotrust.com, issue=globalsign.com, issue=letsencrypt.org, issue=thawte.com
   Certificate Transparency     yes (certificate extension)

  Server Certificate #2
   Signature Algorithm          SHA256 with RSA
   Server key size              EC 256 bits
   Server key usage             Digital Signature, Key Agreement
   Server extended key usage    TLS Web Server Authentication, TLS Web Client Authentication
   Serial / Fingerprints        24E25E2F3D57B41671392F25 / SHA1 763EE6D52D3CF0237D9858F27EDF42EF4696B1E2
                                SHA256 9C4C0FCE32BA7E8AEAF17210B509D871D6B2EF237E0E887D7190F28F28011143
   Common Name (CN)             *.kernel-error.de 
   subjectAltName (SAN)         *.kernel-error.de kernel-error.de 
   Issuer                       AlphaSSL CA - SHA256 - G2 (GlobalSign nv-sa from BE)
   Trust (hostname)             Ok via SAN wildcard (same w/o SNI)
   Chain of trust               Ok   
   EV cert (experimental)       no 
   ETS/"eTLS", visibility info  not present
   Certificate Validity (UTC)   365 >= 60 days (2020-02-26 13:37 --> 2021-02-26 13:37)
   # of certificates provided   2
   Certificate Revocation List  http://crl2.alphassl.com/gs/gsalphasha2g2.crl
   OCSP URI                     http://ocsp2.globalsign.com/gsalphasha2g2
   OCSP stapling                not offered
   OCSP must staple extension   --
   DNS CAA RR (experimental)    available - please check for match with "Issuer" above
                                iodef=mailto:kernel-erro@kernel-error.de, issue=comodoca.com, issue=geotrust.com, issue=globalsign.com, issue=letsencrypt.org, issue=thawte.com
   Certificate Transparency     yes (certificate extension)
[....]

Jetzt kann noch ein 2016 Microsoft Exchangeserver einliefern und auch die „coolen Kinder“. Was mache ich wohl 2021? Exchange 2016 ignorieren?!?!

Kleines Update, da es Fragen gab..

Natürlich sollte man seine ciphers in einer sinnigen Reihenfolge für seinen Postifx konfigurieren. Kommen sie in der Reihe erst nach den RSA ciphern wird es natürlich fast nie benutzt *kopfschüttel*. Leute bitte kein copy & paste, mitdenken!

Ein Beispiel für die cipherliste wäre:

tls_high_cipherlist = TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256

TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256 sind dabei für TLS1.3

ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256 sind für den gewünschten ECD-Key

ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256 sind dann für TLS 1.2 RSA Verbindungen.

Kommt nun ein Client/einliefernder Mailserver, dann wird dieser dank:

tls_preempt_cipherlist = yes

Die vom Server übermittelte cipherliste durchgehen und die erste für beide funktionierende Kombination benutzen.

RSA Verbindungen sehen dann so aus:

Mar  3 08:24:13 smtp postfix/smtpd[49650]: Anonymous TLS connection established from RSA-mailserver[1.2.3.4]: TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits)

ECD Verbindungen so:

Mar  3 08:23:53 smtp postfix/smtpd[49650]: Anonymous TLS connection established from EDC-mailserver[5.6.7.8]: TLSv1.2 with cipher ECDHE-ECDSA-AES256-GCM-SHA384 (256/256 bits)

Einfach, oder?

Cliqz der „Datenschutzbrowser“

8. Januar 2020 / / Keine Kommentare

Ich bin auf Cliqz aufmerksam gemacht worden und teste den Browser seit einigen Tagen.  Der Browser ist aus einer Suchmaschinenerweiterung für den Firefox entstanden. Auf Firefoxbasis ist es dann selbst zu einen Browser geworden. Die Entwickelnde Firma sitzt in Deutschland und hält selbst Anteile an Ghostery. Ghostery ist also im Browser integriert, wie auch die Suchmaschinenerweiterung, ein Videodownloader….

Firefox ist seit vielen Jahren der Browser meiner Wahl. Gestartet habe ich mit Netscape und ich habe ihn schon eingesetzt als er noch den Namen Phoenix hatte. Damit möchte ich sagen, dass ich schon sehr „eingesessen“ bin und mir ein Wechsel schwer fallen würde. Da Cliqz aber die Firefox Basis hat, bekannt funktioniert und sogar die Firefox Plugins funktionieren (ja ja)… Ersetzt er mehr und mehr meinen Firefox!

Wer ihn sich also noch nicht angeschaut hat und selbst Firefox Benutzer ist, könnte einen Blick riskieren. Ohne große Schmerzen erwarten zu müssen!

https://cliqz.com/

Oh ja… Bei FreeBSD ist er bereits in den Ports 🙂

Fragen? Dann fragen.

Email test der Niederländer hat angezogen!

9. Dezember 2019 / / Keine Kommentare

Der niederländische Staat bietet ein Tool an um Webseiten sowie Mailserver auf ihre Transportsicherheit zu überprüfen. Heute sind die neuen guidelines gestartet. Dieses zieht die geforderte „Sicherheit“ schon ein deutliches Stück an.

So gibt es nun eine Warnung für TLS 1.0 sowie TLS 1.1. Wie wir alle wissen wollte man es ab Q1 2020 nicht mehr nutzen, hier wird es ebenfalls bald von Qualys SSL eine Abwertung geben. Zusätzlich wird besonderer Wert auf einen guten Diffie-Hellman key exchange gelegt und ebenfalls sind weitere Cipher herausgeflogen. Alles um TLS 1.3 möglichst gut den Weg zu ebnen!

https://en.internet.nl/mail/kernel-error.com/

Ebenfalls gibt es in der Hall of Fame nun noch die Sektion der Champions, also die Domains welche es sowohl beim Webserver als auch beim Mailserver die 100% zu erreichen.

Fragen? Dann fragen 🙂

Softstart MODUL Sanftanlauf 230 Volt

30. November 2019 / / Keine Kommentare

Um da ein paar Rückfragen zu folgendem Beitrage zu beantworten: Sanftanlauf für Elektromotor / Softstart / Anlaufstrombegrenzer

Bei meinem Eigenbau ging es nur darum, herauszufinden wie ich es mit vorhandenen Teilen bauen kann. Es gibt für gut bezahlbares Geld fertige Module. Dieses hier nutze ich selbst an der Kapp- und Gehrungssäge bei 230V und bis 2500Watt.

>>Amazonlink klick<<

Funktioniert so wie man es sich vorstellt.

Einfacher Multifunktionstester für Elektronikbauteile

30. November 2019 / / Keine Kommentare

Aus alter/defekter Elektronik grabble ich mir gerne ein paar Bauteile heraus. Dieses hat bei mir in den 90er angefangen, weil eine Bestellung bei Conrad mein damaliges Taschengeld zu hart angegriffen hat. Amazon gab es so noch nicht, Lieferzeiten von einer Woche waren selbstverständlich und oft waren die Portokosten höher als der Preis für das gewünschte Bauteil selbst. Das waren die Zeiten von gut geplanten Sammelbestellungen des Freundeskreises bei Conrad.

Daher habe ich, wie viele andere ebenfalls, angefangen aus defekten Geräten einfach die brauchbaren Teile auszubauen. Hier ein Elko, da ein paar Widerstände, mal einen Transistor oder Dioden usw. usw… Irgendwie bin ich diese Angewohnheit nicht mehr los geworden. Meist interessiert mich aus welchem Grund ein Gerät aufgegeben hat, mal einfach nur wie es der Hersteller realisiert hat. Auf dem Weg baue ich dann aus was ich „möglicherweise“ mal brauchen kann. Hier liegen jetzt noch in Kisten Bauteile, welche ich vor 20 Jahren ausgebaut habe. Einige Dinge werden sicher nie mehr genutzt! Viele Projekte sind dennoch aus genau diesen Teilen entstanden.

Nicht selten fehlt mir dann bei einem angedachten Projekt doch ein Bauteil und ich muss mir überlegen wie ich es mit den vorhandenen umgesetzt bekomme. Was immer wieder spannend und herausfordernd sein kann!

Ein großes Problem mit den Bauteilen ist immer wieder, die Gewissheit ob jetzt die Schaltung einen Fehler hat oder doch nur das Bauteil def. ist. Ich habe dafür nun ein kleines Gerät, welches schnell und einfach einzelne Bauteile durchmessen kann. Der kleine Multifunktionstester erkennt dabei automatisch das Bauteil und prüft dieses. Ebenfalls gibt es auf einem kleinen Display aus welches Bauteil es erkannt hat und welche Daten er dazu hat. Dabei kostet das Ding unter 20€ und ist in verschiedenen Versionen erhältlich. Als einfache Platine, mit Gehäuse oder als Bausatz.

Natürlich ist es nicht 100% zuverlässig und die Lösung aller Probleme! Ich kann es aber mit sehr gutem Gewissen weiterempfehlen. Oh ja, der Amazon link!

Spiegelheizung im Badezimmer

26. November 2019 / / Keine Kommentare

Schon einige Zeit nervt mich nach dem Duschen der beschlagene Spiegel. Bisher habe ich immer ein paar Sekunden mit dem Föhn meinen Spiegel aufgewärmt und dann war alles ok.

Klar, es gibt Spiegelheizungen, es gibt sogar Spiegel mit eingebauter Heizung… Nur ist so etwas schon ein klares „first world problem“, oder? Ich habe es aber wirklich gemacht, ich habe eine Heizfolie bei Amazon gekauft und diese hinter meinen vorhandenen Spiegel geklebt. Strom bekommt sie von der Lampe über dem Spiegel und naja… Sie tut was sie soll. Der Spiegel wird warm und beschlägt nicht mehr nach dem Duschen. Gott, Probleme muss man haben *kopfschüttel*

Fragen? Dann fragen!

Automatische E-Mail Archivierung mit Dovecot IMAP

25. November 2019 / / Keine Kommentare

Um etwas mehr Ordnung in meinem IMAP Postfach zu halten nutzen ich ein kleines Python Skript cleanup-maildir https://www.freshports.org/mail/cleanup-maildir/. Dieses Skript läuft jede Nacht und sortiert automatisch alle E-Mails die älter sind als 365 Tage aus meinem Posteingang (inbox) sowie meinen Gesendeten E-Mails ins Archive. Dabei sortiert es die Mails automatisch in Unterordner mit dem Jahres und Monatsnamen, damit ich die E-Mails schneller finden kann.

Zum Beginn lief es nur als cronjob auf meinem Postfach, inzwischen sammelt es sich die Benutzer, den MailBox Pfad sowie die Option ob es laufen soll oder nicht (autoarchive=0|1) aus dem LDAP Server.

Den grundlegenden Aufruf des Skriptes möchte ich kurz mit euch teilen!

sudo -u vmboxuser cleanup-maildir --age=365 --archive-folder='Archive.Inbox' --maildir-root='/var/mail/vhosts/kernel-error.com/kernel-error' archive ''
sudo -u vmboxuser cleanup-maildir --age=365 --archive-folder='Archive.Sent' --maildir-root='/var/mail/vhosts/kernel-error.com/kernel-error' archive 'Sent/'

sudo -u vmboxuser lässt den Befehl als der Nutzer laufen, welcher bei mir übergreifen Zugriff auf die Postfächer hat.
–age=365 sagt, dass nur E-Mails älter 365 Tage angefasst werden sollen.
–archive-folder=’Archive.Inbox/Sent‘ gibt die Zielordner im Postfach an.
–maildir-root='[…]‘ das Postfach (Domain und Postfachname kommen normalerweise als Variable aus dem LDAP).
archive sagt dem Skript, dass archiviert werden soll. Man könnte auch löschen oder ähnliches.
ist der Default also die Inbox
‚Sent/‘ sind die gesendeten E-Mail.

 Die entstehende Ordnerstruktur im Postfach ist dann:

Tjo… Läuft seit Jahren sehr gut und räumt die Postfächer automatisch auf.

We have now run out of IPv4 addresses.

25. November 2019 / / Keine Kommentare

Wenn ich dann mal „zitieren“ darf..

Dear colleagues,

Today, at 15:35 UTC+1 on 25 November 2019, we made our final /22 IPv4 allocation from the last remaining addresses in our available pool. We have now run out of IPv4 addresses.

Our announcement will not come as a surprise for network operators - IPv4 run-out has long been anticipated and planned for by the RIPE community. In fact, it is due to the community's responsible stewardship of these resources that we have been able to provide many thousands of new networks in our service region with /22 allocations after we reached our last /8 in 2012.

----------------------------------------------------------------
Recovered IPv4 Addresses and the Waiting List
----------------------------------------------------------------

Even though we have run out, we will continue to recover IPv4 addresses in the future. These will come from organisations that have gone out of business or whose LIR accounts are closed, or from networks that return addresses they no longer need. They will be allocated to our members according to their position on a new waiting list that is now active.

While we therefore expect to be allocating IPv4 for some time, these small amounts will not come close to the many millions of addresses that networks in our region need today. Only LIRs that have never received an IPv4 allocation from the RIPE NCC (of any size) may request addresses from the waiting list, and they are only eligible to receive a single /24 allocation.

LIRs that have submitted an IPv4 request can see their position on the waiting list in the LIR Portal. A new graph has also been published that shows the number of requests on the waiting list and the number of days that the LIR at the front of the queue has been waiting:
https://www.ripe.net/manage-ips-and-asns/ipv4/ipv4-waiting-list

----------------------------------------------------------------
Call for Greater Progress on IPv6
----------------------------------------------------------------

This event is another step on the path towards global exhaustion of the remaining IPv4 addressing space. In recent years, we have seen the emergence of an IPv4 transfer market and greater use of Carrier Grade Network Address Translation (CGNAT) in our region. There are costs and trade-offs with both approaches and neither one solves the underlying problem, which is that there are not enough IPv4 addresses for everyone.

Without wide-scale IPv6 deployment, we risk heading into a future where the growth of our Internet is unnecessarily limited - not by a lack of skilled network engineers, technical equipment or investment, but by a shortage of unique network identifiers. There is still a long way to go, and we call on all stakeholders to play their role in supporting the IPv6 roll-out.

At the RIPE NCC, we are here to support our membership and the wider RIPE community in this work. Aside from allocating the IPv6 resources that will be required, we will continue to provide advice, training, measurements and tools to help network operators as they put their deployment plans into action.

We are optimistic and excited to see what the next chapter will bring. So let's get to work - and together, let's shape the future of the Internet.


Best regards,

Everyone at the RIPE NCC

Japp… RIPE NCC ist damit leer!

« Ältere Beiträge Neuere Beiträge »

© 2024 -=Kernel-Error=-

Theme von Anders NorénHoch ↑